*,*,內網(wǎng)規(guī)范管理系統(tǒng)解決方案,構建以人（,ID,）為核心的“內網(wǎng)規(guī)范管理”的網(wǎng)絡,內網(wǎng)規(guī)范管理系統(tǒng),當前內網(wǎng)安全存在的問題,防不勝防的病毒、木馬、蠕蟲、,BOT,等惡意代碼。垃圾郵件、惡意,WEB,網(wǎng)頁、文件下載、,U,盤濫用、,IM,軟件等等,缺乏有效身份認證機制。一根網(wǎng)線、局域網(wǎng),AP,、內網(wǎng)終端之間。,內網(wǎng)邏輯邊界不完整。,輕而易舉地繞開防火墻訪問。,缺乏訪問權限控制機制。,層出不窮的系統(tǒng)漏洞。,終端安全水平參差不齊。,IP,使用失控，私改冒用,IP,屢禁不止。,私裝軟件，開啟危險服務。,主機和設備維護缺乏監(jiān)管。,當前內網(wǎng)安全產生的問題,任何設備都可插入內網(wǎng)，而企業(yè)無法控制？,網(wǎng)絡中使用了多少,IP,，這些,IP,都是哪些人在用，還有多少,IP,未被使用？,誰接入到網(wǎng)絡中，終端是否安全，是否用了違規(guī)軟件？,網(wǎng)絡中的接入交換機的使用情況如何？哪些端口接了終端哪些沒有接？,出現(xiàn)病毒機時，怎樣快速的定位源位置并進行相應處理？,怎樣通過方便快捷的方式實現(xiàn)移動辦公需求？,不同角色人員在網(wǎng)絡中的任意位置接入都如何獲得相應的權限？,訪客入網(wǎng)，如何只允許訪問固定的網(wǎng)絡資源？,網(wǎng)絡接入設備太多，網(wǎng)管人員對用戶接入無法統(tǒng)一管理？,ARP,病毒泛濫，造成網(wǎng)絡阻塞，而網(wǎng)管人員又無法及時確定責任人？,總有員工沒有及時更新病毒庫、下載補丁軟件，造成企業(yè)病毒泛濫？,內網(wǎng)規(guī)范管理系統(tǒng),內網(wǎng)面臨的最主要威脅,移動終端,病毒木馬,信息竊密,非授權,訪問,網(wǎng)絡濫用,內網(wǎng)安全,內網(wǎng)規(guī)范管理系統(tǒng),非法接入,一切安全風險皆源于“人的威脅”。,非法人員直接入侵網(wǎng)絡和應用系統(tǒng),內部人員通過應用系統(tǒng)或者數(shù)據(jù)庫工具訪問,外維,/,廠商人員通過數(shù)據(jù)庫工具訪問,高權限人員通過應用系統(tǒng)操作,利用內網(wǎng)先天安全性不足。,傳統(tǒng)安全技術不防“人”，多為被動防御技術。,系統(tǒng)多樣化、管理手段不統(tǒng)一。,要想防“人”，必須對“人”進行“規(guī)范”管理！,問題分析,內網(wǎng)規(guī)范管理系統(tǒng),技術上規(guī)范管理有,4,個對象,先規(guī)范人,駕照合法,車輛安全,公路,安全,貨物安全,問題分析,內網(wǎng)規(guī)范管理系統(tǒng),如何規(guī)范“人”？,針對不同角色的“人”，采取相應的技術措施！,人,問題分析,內網(wǎng)規(guī)范管理系統(tǒng),不同管理模式的示意圖,內網(wǎng)規(guī)范管理系統(tǒng),建設內網(wǎng)規(guī)范管理步驟,第一步，部署,ID,管理平臺,第二步，部署審計系統(tǒng),第三步，完善訪問控制機制,第四步，建立規(guī)范管理制度,Firewall,專線,Cisco/802.1x,H3C/802.1x,Dlink Sw,Wifi AP,ID,管理平臺,ID,管理平臺,DataBase,His,系統(tǒng),PAS,系統(tǒng),運維堡壘平臺,數(shù)據(jù)庫和應用審計平臺,準入網(wǎng)關,準入網(wǎng)關,外聯(lián)單位,/,衛(wèi)生部門,/,社保,Agent,Agent,Agent,Agent,Agent,Agent,Agent,Agent,Agent,訪客免,Agent,總院局域網(wǎng),分院局域網(wǎng),運維登錄,Firewall,內網(wǎng)規(guī)范管理系統(tǒng),第一步，部署,ID,管理平臺,網(wǎng)絡準入控制,終端管理,實名制,IP,管理,訪客管理,網(wǎng)絡威脅定位,有效防止,“,非法用戶,”,接入網(wǎng)絡,有效防止,“,普通員工,”,濫用終端,防止,IP,濫用，有效保障日志審計有效性,高效管理訪客，規(guī)避網(wǎng)管責任，審計到授權人,極大縮短查找威脅源的時間，降低網(wǎng)絡故障率,內網(wǎng)規(guī)范管理系統(tǒng),第二步，部署審計系統(tǒng),用戶入網(wǎng)審計,運維堡壘平臺,數(shù)據(jù)庫審計平臺,全面掌握用戶入網(wǎng)信息，便于事后取證,有效防止“運維,/,外維人員”濫用權限或者惡意操作,有效防止數(shù)據(jù)庫漏洞和“高權限人員”濫用權限,與,ID,管理平臺聯(lián)動,內網(wǎng)規(guī)范管理系統(tǒng),第二步，部署審計系統(tǒng),用戶入網(wǎng)審計包括：,用戶入網(wǎng)登錄名,入網(wǎng)終端信息,用戶入網(wǎng)時間,用戶退網(wǎng)時間,用戶入網(wǎng)違規(guī)信息,用戶入網(wǎng),IP,使用信息,入網(wǎng)統(tǒng)計信息,內網(wǎng)規(guī)范管理系統(tǒng),第二步，部署審計系統(tǒng),數(shù)據(jù)庫和應用審計,數(shù)據(jù)庫操作,Oracle/TNS,Informix,DB2,Sybase,SQL Server,OA,操作,Netbios,NFS,SMTP,POP3,HTTP,select,、,delete,、,create,、,insert,Drop TRIGGER,Drop table,script_name.sql,Shutdown,Create User,Mail from,、,rcpt to,、,HELO,、,EHLO,、發(fā)件人、收件人、主題、正文、附件,用戶登錄、創(chuàng)建目錄、創(chuàng)建文件、更改目錄、刪除文件、刪除目錄、讀文件、寫文件,http:/Site/url.asp?id=1;exec master.xp_cmdshell“net user name password/add”,公開協(xié)議解析,非公開協(xié)議解析,審計數(shù)據(jù)庫指令,審計應用,指令,內網(wǎng)規(guī)范管理系統(tǒng),第二步，部署審計系統(tǒng),審計實錄,內網(wǎng)規(guī)范管理系統(tǒng),第三步，完善訪問控制機制,準入網(wǎng)關替代傳統(tǒng)防火墻,與,ID,管理平臺聯(lián)動，先準入后策略控制，安全性更高，性能更好！,部署在重要應用服務器前，實現(xiàn)二次準入，避免準入漏洞！,外聯(lián)單位，應用與內網(wǎng)一致的準入和終端管理策略，大大提高安全性！,內網(wǎng)規(guī)范管理系統(tǒng),第四步，建立規(guī)范管理制度,用戶管理制度,新用戶申請,/,注銷,/,入網(wǎng),/,退網(wǎng)制度,分組規(guī)則、分角色規(guī)則,終端管理制度,新終端申請,/,注銷,/,變更使用人,/,入網(wǎng),/,退網(wǎng)制度,終端安全檢查規(guī)則,規(guī)范用戶、子網(wǎng),IP,使用制度,訪客,IP/,普通員工,IP/,高權限人員,IP/,運維人員,IP,使用制度,IP,地址擴展規(guī)劃,常規(guī)性規(guī)范管理檢查,法律法規(guī)符合性定期檢查制度,定期安全巡檢制度,安全事件應急響應制度,內網(wǎng)規(guī)范管理系統(tǒng),主要功能,實名準入控制,終端健康檢查,訪客管理,網(wǎng)絡運維管理,網(wǎng)絡邊界監(jiān)護,網(wǎng)絡威脅定位,網(wǎng)絡訪問控制,終端桌面管理,高風險,較危險,危險降低,更安全,簡化管理,難于管理,-,更安全,-,更容易管理,-,實名制,IP,地址管理,高可用性,日志儲存與審計,內網(wǎng)規(guī)范管理系統(tǒng),內網(wǎng)規(guī)范管理系統(tǒng)系列產品部署圖,內網(wǎng)規(guī)范管理系統(tǒng),IDNac-,實名制,ID,網(wǎng)管平臺,基于,ID,的實名制網(wǎng)絡管理系統(tǒng)，采用,DHCP,方式實現(xiàn)準入控制，同時兼容,802.1x,協(xié)議，主要功能以,DHCP,方式下的固定,IP,地址管理、實現(xiàn)對接入網(wǎng)絡的用戶（人）實現(xiàn)實名制準入、終端經過健康檢查合規(guī)后準入、通過,SNMP,實現(xiàn)交換機端口與接入控制、,IP,地址管理、實名制日志審計等等。,內網(wǎng)規(guī)范管理系統(tǒng),IDNac-,實名制,ID,網(wǎng)管平臺功能特點,ACK-ID,模塊,支持多種準入控制技術，包括,802.1x,準入、,DHCP,準入、,ARP,準入、,SNMP,準入技術,全面兼容各類網(wǎng)絡廠商、交換機、無線、,HUB,用戶,ID,管理，按組、角色的統(tǒng)一管理,用戶自注冊、自服務,訪客管理、訪客上網(wǎng)授權管理,支持,AD,、,LDAP,、,RADIUS,、,SQL,用戶數(shù)據(jù)庫,支持,AD,域單點登錄,基于用戶組,/,角色的,IP,地址下發(fā),雙因素認證：動態(tài)密碼卡、短信,用戶,/,終端,/IP,、交換機端口,/,主機名綁定,支持用戶,UID,標識,/,核查技術,內網(wǎng)規(guī)范管理系統(tǒng),IDNac-,實名制,ID,網(wǎng)管平臺功能特點,ACK-IP,模塊,支持多種準入控制技術，包括,802.1x,準入、,DHCP,準入、,ARP,準入、,SNMP,準入技術,支持交換機,TRUNK,中繼端口，管理多個,VLAN,IPAM,，全網(wǎng),IP,管理，,IP/MAC,變動監(jiān)視,終端,ID,管理，終端注冊，非法終端報警和阻斷,設備,ID,管理，網(wǎng)絡設備指紋識別,增強的,DHCP,，二次分配,IP,技術，分配閥值告警,支持,OPT82,協(xié)議和,SNMP,網(wǎng)管交換機,網(wǎng)絡威脅定位可視化,終端,/IP/,交換機端口,/,主機名綁定,支持終端,CID,、設備,DID,標識,/,核查技術,內網(wǎng)規(guī)范管理系統(tǒng),IDNac-,實名制,ID,網(wǎng)管平臺功能特點,ACK-HI,模塊,終端軟件檢查，支持自定義終端軟件特征,支持防病毒系統(tǒng)檢查,支持注冊表項檢查,支持軟件版本、,windows,系統(tǒng)、,windows,補丁信息檢查,支持終端硬件檢查,支持防止內外網(wǎng)互聯(lián)和非法外聯(lián)檢查,支持,U,盤讀寫控制功能,支持遠程協(xié)助功能,支持軟件分發(fā)及高級運行安裝參數(shù)設置,支持終端強制修復，隔離區(qū)支持修復中心,內網(wǎng)規(guī)范管理系統(tǒng),IDNac-,實名制,ID,網(wǎng)管平臺功能特點,ACK-AR,模塊,IDNac,分布式部署，跨路由、數(shù)據(jù)分部式同步,多臺,IDNac,互為災備，相互容災,集中管理,ACK,IDSensor,鷹眼系列,用戶分布信息集中管理和查詢,內網(wǎng)規(guī)范管理系統(tǒng),IDNac-,實名制,ID,網(wǎng)管平臺功能特點,實名制審計模塊,實名制安全事件實時統(tǒng)計和原始事件記錄,實名制本地操作報告審計,實名制用戶認證、內網(wǎng)登錄報告、終端,IP,分配報告,實名制報警事件分析報告,CPU/,內存統(tǒng)計圖和認證,/IP,分配統(tǒng)計圖,內部日志、遠程,Syslog,/FTP,服務器日志,內網(wǎng)規(guī)范管理系統(tǒng),IDNac-,實名制,ID,網(wǎng)管平臺功能特點,配置與管理模塊,內置,ACKOS,安全操作系統(tǒng),支持中文,/,英文,WEB,管理,支持,Telnet/SSH/RS232,命令行管理,分級管理員、基于用戶組、功能模塊的管理員權限配置,雙機冗余熱備（,Active/Passive,）,支持網(wǎng)絡緊急逃生（需配置,IDMonitor,系統(tǒng)）,配置與管理模塊,內網(wǎng)規(guī)范管理系統(tǒng),IDNac,功能實現(xiàn)說明,內網(wǎng)規(guī)范管理系統(tǒng),產品資質,內網(wǎng)規(guī)范管理系統(tǒng),案例分享,內網(wǎng)規(guī)范管理系統(tǒng),謝 謝 各 位 領 導,!,四川菲普斯科技有限責任公司,信息網(wǎng)絡安全解決方案供應商,成都市武科東一路,15,號城市會所,1,棟,301,號,咨詢電話：,傳真：,郵箱：,